Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

подозрение, что компом кто-то управляет

janeray@mail.ru

Автор janeray@mail.ru
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
Опубликовано

сегодня ночью комп атаковали трояны и вирус салюти.

касперыч обнаружил, лечил, но все-равно комп немного странно себя ведет, есть подозрение, что трояны прописали какие-то адреса и комп управляется кем-то

 

что делать?

 

как проверить комп на наличие чужих управлений?

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано
что делать?

Здравствуйте. Сделайте логи http://forum.kasperskyclub.ru/index.php?showtopic=1698. результат прикрепите в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

да, уже делаю.

 

кошмар: все программы выключены, никаких обновлений и прочего... а локалка и подключение инет - в полную мощность сосут что-то.......

 

avz показало какие-то перехваты красным цветом, и надпись адрес не определен.

 

 

p.c.

пока это сообщение писала, на моих глазах вырубается инет (провайдер очень высококлассный, и такого никогда не было), 10 минут не могу его обратно врубить. потом все-таки появился........

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано (изменено)

janeray@mail.ru, не те логи!

нам нужны:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Stranniky
Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано

грохнуть эти файлы? или конкретно комп лечить придется?

 

не те логи.

нам нужны.

 

"полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."

 

нет ни директории, программа avz нигде не проходит.

только путем сохранения отчета вот эти "текстовики"

hijackthis.log

avz_log2.txt

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано (изменено)

janeray@mail.ru, так вот что нужно делать.

запускаете AVZ и и нажимаете на обновление баз ---смотр.крин 1

post-13396-1311946350_thumb.jpg

Потом когда обновление завершится Фаил--стандартный скрипт выбираете №2 и запускаете---смотреть скрин 2

post-13396-1311946456_thumb.jpg

После того,как проверка закончится:

Фаил--стандартные скрипты-- выбираете скрипт №3 и запускаете--смотреть скрин 3

post-13396-1311946532_thumb.jpg

Когда проверка будет закончена появится папка LOG смотреть скр 4

post-13396-1311946594_thumb.jpg

Изменено пользователем Stranniky
Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

да. именно так.

видимо, я забыла его в отд.папку поместить

virusinfo_syscheck.zip

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

janeray@mail.ru,

было бы не плохо увидеть ещё лог virusinfo_syscure.zip...

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано

2-й лог в процессе еще.....))))))

 

вот логи.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

avz недостаточно?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

лог ))))))

 

трояны и салюти были с чужой флешки..... а тут смотрю - в папке инсталлов куча нечисти ))))

так я эти файлы в касперыча кинула - он ничего не показал. почему? слаб?

 

винду переустанавливать? или как-то реестр вычистить?

 

ваш прекрасный анти-малваре после перезагрузки встал в трей и........

каждые 30 секунд блокирует непонятные автоматич.подключения к каким-то "вредоносным сайтам" (уже штук 9 адресов показал), при всех остальных закрытых программах

195.161.40.10

89.28.123.98

85.234. 173.91

218.9.124.28

195.161.40.10

222.70.193.184

212.113.45.124

218.8.144.87

98.142.249.13

и другие

 

 

анти-Малваре - техничнее Касперыча?анти-малваре сейчас отдувается, а у Касперыча - "лава-а-нда-а...."

mbam_log_2011_07_30__11_46_44_.txt

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
анти-Малваре - техничнее Касперыча?

нет. их некорректно сравнивать. это 2 разных продукта.

 

c:\program files\totalcmd_it\Utilites\Riot\Riot.exe

проверьте на virustotal.com

ссылку с результатом прикрепите

 

кейгены, что нашёл MBAM - на Ваше усмотрение (можете удалить, можете оставить)

 

Раскрывающийся текст:

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\noise ключ\dm_noiser20a\damn_noiseplugin_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sonic foundry\sony sound forge 7.0\Keygen.exe (Trojan.Downloader) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.mainconcept.mpeg.1&2.plugin.v1.0.keymaker\damn_concmpeg_plugin10_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.mp3.plugin.v2.0.keymaker\damn_mp3plugin_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.sound.forge.v6.0.keymaker\KEYGEN.EXE (RiskWare.Tool.HCK) -> No action taken.

f:\INSTALL\install audio\Notators\midimage v2.2.0.1\CRACK\mi2201-crk.exe (Trojan.Bancos) -> No action taken.

f:\INSTALL\install audio\propellerhead reason 4.0\KEYGEN.EXE (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install audio\winamp pro 5.61 build 3133 final\Таблэтки\DVT\KeyMaker.exe (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install creative\asd_adobe.indesign.cs5.premium.v7.0.incl.keymaker-embrace.t.e.k.o.exe (Malware.Packer.Gen) -> No action taken.

f:\INSTALL\install system\reg organizer 5.0\keygen.exe (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install system\winrar v3.90 final\Keygen\Keygen.exe (RiskWare.Agent.CK) -> No action taken.

f:\ТЕХНИКА\генераторы_ключей\sonic_foundry_keygen.exe (Trojan.Downloader) -> No action taken.

 

 

деинсталлируйте MBAM.

 

пофиксите в Hijackthis:

O2 - BHO: Dot TK Registry Toolbar - {22EB0F38-22A5-405B-8308-677DAA3318CF} - C:\Program Files\TK-it!\dottktb.dll (file missing)
O3 - Toolbar: Dot TK Registry Toolbar - {22EB0F38-22A5-405B-8308-677DAA3318CF} - C:\Program Files\TK-it!\dottktb.dll (file missing)
O3 - Toolbar: (no name) - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - (no file)
O9 - Extra button: (no name) - {13750BBB-B753-4d3d-B660-3AEEE71535A7} - C:\Program Files\TK-it!\dottktb.dll (file missing)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrew GHJK
      не обображается описание в управляемых устройствах
      Автор Andrew GHJK
      Здравствуйте, есть проблема, что не отображается Описание ПК в Security Center. Не отображается не у всех.  Закономерности найти не могу. Если ставлю с нуля windows - все отлично. На таких же системах давно работающих - не отображаеся
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Snak3EyeS92
      [РЕШЕНО] Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...